“能不能给我充点钱”,每次在QQ上有好友发来这样的内容,杨小姐总会立刻提高警惕,这样的骗局听多了。不过,向来警惕的杨小姐最近也上当了,还被骗子忽悠了1000元的游戏点卡。
尽管行骗术语很老套,但骗子却利用了QQ邮箱的短消息能和QQ电脑客户端同时在线并收发信息的漏洞,这让网友大呼防不胜防,太恐怖。
真假小陈同时在线
“在吗?你能网购吗?帮我买点东西。”看到正在和自己聊着工作的小陈发来的信息,杨小姐照常狐疑了一下。还没反应过来,聊天页面里又跳出了“你帮我给我小号冲点Q币呗”的消息。面对“小陈”接二连三的充卡要求,杨小姐再没多想就用网银帮“小陈”充了1000元点卡。
给骗子充了游戏点卡后,杨小姐的电脑屏幕上,突然显示了小陈的一条新留言:“QQ被盗,有人要你买东西不要买。小心上当。”再次仔细看了遍聊天记录,她发现她和真假小陈所有聊天信息,竟然全部显示在一个聊天对话框里。
在给小陈打了电话以后,杨小姐才知道,两三个小时前,小陈的QQ被盗了。骗子通过小陈的QQ邮箱向他所有的QQ好友都发出了“充值”的要求。小陈说,他刚刚申请找回了密码,不想这么快就有好友中招了。“这太可怕了,我下午接到了很多好友的电话,而且找回密码后马上登录发布消息,叫大家不要上当。没想到,这个骗子一直没有退出QQ邮箱,还在一直行骗。”
QQ邮箱漏洞被骗子利用
QQ电脑客户端早已有被迫下线功能,那么骗子究竟是如何得逞的?这是最让杨小姐百思不得其解的地方。
记者通过比对小陈和杨小姐两人提供的聊天记录,发现了一个细节,真假小陈同时在线的时候,小陈用的是QQ电脑客户端,而骗子则在用QQ邮箱聊天功能。
记者亲身试验了那个QQ邮箱的特别用途。只要在QQ下线前把QQ邮箱的页面打开,这时,即使在另一个地方重新登录QQ,之前的QQ客户端被迫下线,但仍然可以通过QQ邮箱短消息与朋友进行聊天。而且只要邮箱聊天页面不关,通过QQ客户端和QQ邮箱聊天发过去的内容,好友都能收到。这就是杨小姐为什么一边能收到小陈发来的工作信息,而同时又能收到骗子要求充卡的消息的原因。
腾讯称此前不知道有这个漏洞
对此,记者联系了腾讯公关部门的工作人员,对方表示之前从未接到过这样的投诉,自己也没有用过QQ邮箱的短消息功能,所以一直不知道系统有这个漏洞。
该工作人员表示已经将情况反映给了了腾讯技术团队,并提醒QQ用户对于好友通过QQ提出的经济要求,譬如充钱等,无论金额大小,最好通过电话确认或者当面进行核实,才能避免被骗子利用。
站长评论:
这种骗术从前一两年开始大规模爆发,现在呈爆炸趋势,原因是:骗钱太容易,而且成本低廉,配合群发软件,完全可以实现全自动骗钱,而且即使报警了,基本上没人查……
而且很多人都有修改备注的习惯,会把好友的QQ昵称修改成真实的名字,所以片子一来就是:“***,给我充点点卡……”,由于知道真实的名字,会非常容易的使受害人相信,所以上当的概率很高……
关于腾讯,这个不能算是漏洞,准确的说应该是设计缺陷,很多类似的产品都有此类设计缺陷。
缺陷是腾讯在修改密码后,没有清理QQ邮箱的会话链接(很多年前,QQ客户端就有强制下线功能了),导致可以一直在线。
如果使用会话保持工具,定时刷新会话(Refresh Cookies),那么就会一直保持在线,可以重复利用。
很早以前,利用 XSS 偷取的 Cookies 曾经被这样玩得很火,现在居然被骗子利用上了(原理相同),无语了……
我猜QQ空间、腾讯微博等应用,应该存在相同的问题……
腾讯这次真的要反思下了……
补充:
腾讯有个功能做得很好,如果你在QQ聊天框中出现“充值”、“点卡”、“转账”、“银行”、“钱”、“汇款”等敏感词汇,腾讯会给你聊天框顶端显示个高亮提示:警惕骗子冒充好友进行诈骗……
这个功能确实很好,但是……
腾讯你还说你没有监视用户隐私???!!!
PS:
以前本人QQ好友里也有人中招过,同样是手机充值卡,或者是游戏点卡之类的……
跟骗子玩了好一会,忽悠到骗子的卡号后,大骂骗子……
然后丫直接下线了……
2012-4-13 14:55:00 补充:
刚刚发完此文几个小时,居然就碰到了……
留言评论(旧系统):